¿Tienes un centro de estética y no sabes cómo tratar la información personal de tus pacientes? En esta guía te explicamos cómo cumplir la ley de protección de datos en centros de estética.
En este artículo hablamos de:
- Normativa de protección de datos para centros de estética
- Obligaciones LOPDGDD y RGPD para los centros de estética
- ¿Cómo implantar la normativa de protección de datos en un centro de estética?
- Crear el registro de actividades de tratamiento
- El contrato de encargo del tratamiento
- Recoger el consentimiento informado en el centro de estética
- Realizar un análisis de riesgos del tratamiento
- Cláusulas de confidencialidad para empleados del centro de estética
- ¿Necesita tu centro de estética un Delegado de Protección de Datos?
- Si tu centro de estética tiene una página web, no olvides los textos legales
- Informa a tus clientes de sus derechos ARSULIPO
- Notificación de brechas de seguridad
- Información a los propietarios de los datos
- Sanciones por incumplimiento de la normativa de protección de datos
- Preguntas frecuentes que nos hacen los centros de estética
- ¿Estoy obligado a cumplir la LOPDGDD?
- ¿Cuándo trato datos de carácter personal?
- ¿Qué tipo de consentimiento me tienen que firmar mis pacientes para que pueda tratar sus datos?
- ¿Qué tengo que hacer si instalo cámaras de videovigilancia
- ¿Qué ocurre con los datos recogidos a través de la TPV?
- ¿Puedo enviar comunicaciones comerciales a clientes anteriores a la entrada en vigor del RGPD?
- ¿Qué hago con los datos de salud que solicito?
- ¿Qué hago con los currículum que me dejan en el centro de estética?
- ¿Dónde encontrar un especialista en protección de datos para centros de estética?
- ¿Necesitas ayuda para adaptar tu centro de estética al RGPD y la LOPDGDD?
Normativa de protección de datos para centros de estética
En los centros de estética se recoge numerosa información personal relativa a sus pacientes, entre la que puede figurar datos relativos a su salud. Además, también se manejan datos personales de los empleados y de aquellos profesionales que se puedan tener contratados.
Este hecho obliga a prácticamente cualquier centro de estética a cumplir con la siguiente normativa:
- Reglamento General de Protección de Datos (RGPD)
- Ley Orgánica de Protección de Datos y Garantías de Derechos Digitales (LOPDGDD)
Obligaciones LOPDGDD y RGPD para los centros de estética
Tanto la ley como el reglamento de protección de datos establecen una serie de obligaciones en materia de protección de datos que los centros de estética deben cumplir si quieren evitar ser sancionados por la AEPD (Agencia Española de Protección de Datos) con independencia de la titularidad del centro, es decir, la obligación de cumplir con la protección de datos para autónomos o para empresas es la misma.
Entre esas obligaciones está llevar un registro de todas las actividades de tratamiento de datos personales realizadas por el centro de estética (profundizaremos en ello más adelante), así como cumplir con el deber de informar previamente a sus clientes sobre los datos a tratar y la finalidad de dicho tratamiento, para así poder recabar el consentimiento expreso para el uso de los datos recabados.
Así mismo, el centro de estética deberá nombrar e identificar al responsable del tratamiento (que será el propio centro o su titular).
¿Cómo implantar la normativa de protección de datos en un centro de estética?
Para cumplir la Ley de Protección de Datos en estética, aparte de cumplir con las obligaciones citadas en el punto anterior, se deben realizar las siguientes medidas y acciones.
Ponte en contacto con nosotros y solicita INFO sin compromiso para cumplir la ley de protección de datos en tu centro de estética.
Crear el registro de actividades de tratamiento
Como ya hemos dicho, hay que crear el registro de actividades de tratamiento; en él se recogerán todos los tratamientos de datos personales realizados en el centro de estética en diferentes ficheros (empleados, pacientes, videovigilancia, etc.).
Cada fichero o registro debe detallar toda la información relativa al tratamiento de datos personales:
- Nombre y datos de contacto del responsable del tratamiento y, si procede, del encargado del tratamiento, el corresponsable, el representante y el delegado de protección de datos.
- Finalidad del tratamiento.
- Descripción de categorías de datos e interesados.
- Categorías de destinatarios existentes o previstos (incluidos los de terceros países y organizaciones internacionales.
- Transferencias internacionales de datos y documentación de garantías para esas transferencias (si procede).
- Plazos de conservación de los datos.
- Descripción de las medidas de seguridad establecidas.
El registro de actividades de tratamiento es un documento de carácter interno, que responsables y encargados deben mantener actualizado, y, en caso de que la AEPD lo solicite en el proceso de una inspección o investigación, deben facilitárselo.
El contrato de encargo del tratamiento
Siempre que se vayan a ceder datos a terceros, es necesario firmar con ellos un contrato de encargado del tratamiento, en el que el responsable del tratamiento establece las obligaciones de este y los fines para los que está autorizado usar los datos cedidos.
En el caso de un centro de estética, se ceden datos a terceros cuando se tiene contratada una gestoría que lleva las nóminas de los empleados, se usa una plataforma en la nube para gestionar y almacenar fichas de pacientes o se tiene contratado un servicio de videovigilancia.
Recoger el consentimiento informado en el centro de estética
Para recabar datos personales y proceder a su tratamiento, la normativa de protección de datos establece el consentimiento expreso de los interesados como un requisito indispensable.
Los centros de estética deben recabar el consentimiento de sus pacientes para recoger sus datos personales y tratarlos, para lo que previamente les habrán informado de la finalidad del tratamiento, así como si esos datos serán cedidos a terceros y qué uso podrán hacer de ellos esos terceros.
Este consentimiento debe recogerse por escrito, o, al menos, quedar registrado de alguna forma. Lo habitual es solicitarlo al crear la ficha del paciente, añadiéndolo como una cláusula más.
Los datos recabados con este consentimiento no podrán usar para otros fines diferentes a los que se informó, siendo necesario recabar un nuevo consentimiento si se desean utilizar con otro fin.
El uso de datos personales sin consentimiento está prohibido y es motivo de sanción por parte de la AEPD.
Realizar un análisis de riesgos del tratamiento
Con carácter previo a cualquier tratamiento de datos personales, es necesario hacer un análisis de riesgos, para poder detectar e identificar los posibles riesgos que pueden afectar a los datos personales tratados y las consecuencias que tendría para los interesados.
El análisis de riesgos debe servir, además para establecer las medidas de seguridad adecuadas para minimizar o eliminar la posibilidad de materialización de dichos riesgos.
Es importante mantener en mente que los riesgos no solo están en el ámbito digital, sino que también hay que tener en cuenta aquellos físicos, como puede ser un incendio o un robo de documentación en el centro de estética.
¿Es necesario hacer una evaluación de impacto del tratamiento de datos?
En el caso particular de los centros de estética, puesto que pueden llegar a tratar datos relativos a la salud, que pertenecen a categorías de datos especiales, que solo pueden ser tratados bajo determinadas circunstancias y deben contar con especial protección, sí es necesario realizar una evaluación de impacto del tratamiento de datos (EIPD).
La EIPD es un informe en el que se recogen las características del tratamiento de datos personales, los riesgos que puede suponer para los derechos fundamentales de los interesados y las medidas que deben implementarse para reducir tanto las posibilidades de que el riesgo se materialice, como para mitigar las consecuencias en caso de su materialización.
Cláusulas de confidencialidad para empleados del centro de estética
Es necesario que los empleados del centro de estética respeten también la confidencialidad de la información personal a la que pueden tener acceso en el desempeño de sus obligaciones laborales.
Para asegurar que se cumple con este deber, se puede incluir cláusula de confidencialidad en el contrato laboral, en la que se especifiquen las posibles consecuencias de no cumplirla.
¿Necesita tu centro de estética un Delegado de Protección de Datos?
Si en el centro de estética se manejan datos personales sensibles, como pueden ser historias clínicas, a gran escala o se lleva a cabo un tratamiento automatizado de perfiles, será obligatorio designar un Delegado de Protección de Datos (DPO).
Si bien, el Delegado de Protección de Datos es obligatorio, la Ley permite que este pueda ser tanto un empleado interno, siempre que cuenta con formación en materia de protección de datos, o contratarse de manera externa a una consultora de protección de datos. Normalmente, se recomienda la contratación externa, puesto que ofrece una mayor garantía de independencia respecto al centro de estética, un requisito indispensable para el DPO.
Si tu centro de estética tiene una página web, no olvides los textos legales
La normativa actual de protección de datos para centros de estética obliga a estos, en caso de que tengan una página web para la promoción del centro, incluir los siguientes textos legales:
- Aviso legal: Aquí se identifica al propietario de la web, incluyendo el nombre o razón social, el NIF, el correo electrónico y, si procede, el número de inscripción en el registro mercantil.
- Política de privacidad: Donde se informa del tratamiento de datos que realiza el centro de estética. Este texto legal de protección de datos debe incluir, como mínimo, la identidad del responsable (y encargado, corresponsable o representantes, si procede), la finalidad del tratamiento, si se ceden datos a terceros, identificando a estos y el fin que harán de los datos, el plazo de conservación de los datos y las vías para que los usuarios puedan ejercer sus derechos ARSULIPO.
- Política de cookies: Se informará a los usuarios de que la web emplea cookies y cuáles emplea. A través del aviso de cookies, los usuarios podrán aceptar o no el uso de cookies y acceder a la política de cookies completa, donde se describen todas las cookies que usa el sitio web y a quién pertenecen.
Los textos legales deben ser siempre accesibles desde cualquier parte de la página web, lo habitual es que aparezcan en el footer (la parte inferior de la web). Además, deben estar redactados con un lenguaje claro y comprensible, que prescinda de tecnicismos.
Informa a tus clientes de sus derechos ARSULIPO
Se debe informar a los clientes o pacientes de los derechos que pueden ejercer respecto a sus datos personales, los denominados derechos ARSULIPO, es decir, los derechos de acceso, rectificación, supresión, limitación del tratamiento, portabilidad y oposición.
Notificación de brechas de seguridad
En caso de que se produzcan brechas de seguridad, la normativa de protección de datos obliga a los centros de estética (como a otros negocios) a informar de las mismas a la autoridad de control, que en España es la AEPD. Se informará de este tipo de incidentes de seguridad, cuando estos hayan podido poner en riesgo la confidencialidad, disponibilidad o integridad de los datos y debe hacerse en un plazo máximo de 72 horas.
El centro de estética también deberá informar a los interesados cuando sus datos personales hayan podido verse expuestos y las consecuencias puedan causarles perjuicios o amenazar sus derechos fundamentales.
Información a los propietarios de los datos
Como ya dijimos en el apartado del consentimiento, para cumplir con la Ley de Protección de Datos, los centros de estética tienen que informar con carácter previo al tratamiento de sus datos personales, de los siguientes elementos:
- Nombre del responsable.
- Legitimación para la recogida de los datos, es decir, el por qué del tratamiento de los datos.
- Finalidad del tratamiento.
- Los derechos de los interesados, incluyendo el interponer una reclamación ante la AEPD, y cómo ejercitarlos.
Auditorías periódicas
Las auditorías no están recogidas como una obligación ni el RGPD ni en la LOPDGDD, pero lo que sí exigen al centro de estética es demostrar que cuenta con las medidas de seguridad adecuadas y efectivas para garantizar la protección de datos de sus pacientes y empleados.
La mejor forma de poder demostrar esto es mediante auditorías periódicas, especialmente si las realiza un servicio externo especializado en protección de datos.
Las auditorías, además, ayudarán al centro de estética a mejorar sus medidas de seguridad, si se detectan carencias, algo que podría derivar en la imposición de sanciones ante una inspección de la AEPD.
Sanciones por incumplimiento de la normativa de protección de datos
No cumplir con la normativa de protección de datos en tu centro de estética puede conllevar la imposición de sanciones administrativas, cuya cuantía dependerá de la gravedad de la infracción. Esta clasificación está recogida en los artículos 72, 73 y 74 de la LOPDGDD, así como en los apartados 4, 5 y 6 del artículo 83 del RGPD.
- Sanciones hasta 40.000 € para infracciones leves.
- Sanciones de 40.001 € a 300.000 € para infracciones graves.
- Sanciones de 300.001 € a 20 millones de euros o el 4% de la facturación anual (la cuantía que sea más elevada) para infracciones muy graves.
Preguntas frecuentes que nos hacen los centros de estética
¿Estoy obligado a cumplir la LOPDGDD?
Sí, porque en la actividad profesional se tratan datos de terceras personas.
¿Cuándo trato datos de carácter personal?
Siempre que se traten datos que permitan identificar a una tercera persona física, como un paciente o empleado.
Hay que destacar que la legislación actual no incluye a las empresas o sociedades en la protección de datos, es decir a las personas jurídicas.
¿Qué tipo de consentimiento me tienen que firmar mis pacientes para que pueda tratar sus datos?
Al tratar datos sensibles, el consentimiento debe ser expreso, es decir con una clara acción afirmativa por parte del paciente, así como también específico para cada tratamiento.
Por ejemplo, si primeramente recabamos el consentimiento para tratar sus datos con fines médicos y, más adelante, queremos utilizar dichos datos para una campaña de marketing u otra finalidad diferente a la primera, deberemos volver a solicitar su consentimiento para esta nueva acción.
¿Qué tengo que hacer si instalo cámaras de videovigilancia
Si en tu centro de estética tienes instaladas cámaras de seguridad, debes proceder de la siguiente manera:
- Instalar carteles informativos en todas las entradas al centro.
- incluir esas grabaciones en el Registro de actividades de tratamiento.
- No guardar grabaciones después de 30 días.
- Las cámaras deberán respetar la intimidad de las personas y no podrán grabar en espacios públicos, solo el interior del local.
- Si tienes una pantalla donde ves las grabaciones, ésta solo debe estar visible por personal autorizado.
- Has de tener un Impreso donde se informe de:
- Existencia de las grabaciones.
- Fin para el que se recogen dichas grabaciones.
- Posibilidad de que un cliente pueda ejercer sus derechos.
- Identidad del responsable de esta información.
¿Qué ocurre con los datos recogidos a través de la TPV?
Los datos recogidos a través de las terminales de pago TPV también se consideran datos personales. Entre los datos que se recogen se encuentran:
- Número de tarjeta,
- Comercio donde se efectúa la compra,
- Importe.
- Fecha y hora de la transacción.
No se envían otros datos de carácter personal como el nombre y apellidos del cliente. En cualquier caso, debes considerarlo como un tratamiento más y almacenar esos tickets de forma segura.
¿Puedo enviar comunicaciones comerciales a clientes anteriores a la entrada en vigor del RGPD?
Solo si el consentimiento se hubiese otorgado de acuerdo a lo que establece la ley actual, es decir, de forma expresa, voluntaria e informada. De lo contrario, será obligatorio volver a solicitar el consentimiento para obtenerlo de acuerdo a lo que marcan el RGPD y la LOPDGDD.
¿Qué hago con los datos de salud que solicito?
Los datos de salud son datos sensibles por lo que están sujetos a una especial protección. Por tanto, aparte de tener el consentimiento expreso del cliente para poder tratarlos, debes adoptar mayores medidas de seguridad para evitar pérdidas, alteraciones o accesos no autorizados. Entre estas medidas están la elaboración de una evaluación de impacto, la realización de copias de seguridad o utilizar las adecuadas técnicas de anonimización y seudonimización.
¿Qué hago con los currículum que me dejan en el centro de estética?
Para almacenarlos será necesario obtener el consentimiento expreso de la persona, así como informarle acerca de la identidad del responsable del tratamiento, finalidad del tratamiento, cesión del currículum a terceros, plazo de conservación o vías para ejercer sus derechos ARCO. En caso de que el currículum ya no interese, se deberá proceder a su destrucción de forma segura.
¿Dónde encontrar un especialista en protección de datos para centros de estética?
En España existen diversas consultorías especialistas en protección de datos que te pueden guiar a la hora de cumplir la normativa en tu centro de estética. En nuestra web puede consultar las principales consultoras RGPD a través de nuestro buscador de empresas de protección de datos y contratar la que mejor se adapte a tus necesidades.
¿Necesitas ayuda para adaptar tu centro de estética al RGPD y la LOPDGDD?
Cumplir con la normativa de protección de datos en tu centro de estética puede resultar complejo, además de consumir tiempo. Por ello, si necesitas ayuda o asesoramiento personalizado para adaptar tu centro al RGPD y la LOPDGDD, contacta con Grupo Atico34.